袁艳峰+倪丽娜
摘要:随着云计算的发展,云计算在应用的过程中安全问题也暴露出来,现在安全问题已经成为制约云计算发展的关键因素之一。当前全球各国际组织也分别针对安全问题出台相应政策、制定相关标准。该文介绍了云计算当前的安全现状,在分析了我国云计算存在的安全问题的同时,给出了相应的发展对策,包括加强法律法规建设、加强安全体系建设、技术创新、人才培养等。
关键词:云计算;安全问题;安全分析;发展现状;发展对策
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2016)15-0065-03
Abstract: With the development of cloud computing, security issues are leak out in the process of application of cloud computing.Now, safety problems have become one of the key factors restricting the development of cloud computing.The global international organizations are also respectively introducing corresponding policies, formulating relevant standards for safety problem. The paper introduces the current cloud computing security situation, analyzed cloud computing problem of our country and presented the corresponding development countermeasures at the same time that including strengthening the construction of laws and regulations, strengthen the construction of safety system, technology innovation, personnel training, etc.
Key words: cloud computing; security issue; security analysis; current situation; development countermeasure
1 背景
随着信息技术的发展,电子商务、社交网络、在线视频等互联网应用的迅猛发展,随之也产生了大规模的数据,并且数据量还在快速增长。2014年,中国网络购物市场交易规模达到2.8万亿,增长48.7%,仍然维持在较高的增长水平。数据存储介质的制约成了限制信息技术发展的瓶颈,而部署新的系统需要花费高昂的代价,云计算应运而生。根据美国国家技术标准委员会的定义,云计算是一种对IT资源的使用模式,岁共享的可配置资源(如网络、服务器、存储、应用和服务等)提供的普适的、方便的、按需的网络访问。资源使用和释放可以快速进行,不需要花费很大的管理代价。云计算的构思一经提出就等到了各界的广泛认可,成为当前学术界、工业界各界关注的热门话题之一,具有广阔的市场发展前景。
但当前云计算的发展面临着许多问题,其中最关键的问题之一就是云计算的安全,只有安全性提高了才能被人们接受,只有解决了云计算面临的各种安全问题才能使组织或个人将自己的数据交由云服务商管理。云计算应用以来,各种云服务事故的发生使很多人对数据的安全和隐私的维护产生怀疑,从而限制了云服务的广泛应用。而众多云服务商更注重提升性能、改善架构等方面的技术创新,但没有安全的技术保障,其他一切都是空,云环境的安全已经成为整个行业发展的瓶颈。
2015年在北京召开的中国互联网安全大会(ISC2015)中“云计算及虚拟化安全”得到了出席此次会议的国内外专家的广泛关注。社会各界也时时关注着云计算产品以及产品的安全性、可用性。本文通过分析当前云计算所面临的安全问题以及云计算对信息安全领域带来的影响,提出对云计算安全的科研方向,希望能够为我国未来云计算安全的科研、产业发展做出有益的探索。
2 安全现状
2.1国内外云计算安全标准及组织
1)美国政府使用云服务时必须对所要采购的云服务进行审查,其主要采用的安全审查方法为FedRAMP,即联邦风险和授权管理项目(FederalRiskand Authorization Management Program)。欧盟也为云服务的安全出台了监管政策来规范服务商的行为。另外,为了不同国家和地区之间能够共享数据和对云服务数据的跨境流动进行限制,欧盟通过《安全港协议》来确保云服务的安全。
2)云安全联盟(Cloud Security Alliance, CSA)是一个非盈利性组织,成立于2009年,目前已得到社会各界的认可,其旨在对如何提高云环境下的云应用安全进行沟通,以提供最佳解决方案。目前,云安全联盟的成果主要包括《云计算关键领域的安全指南》、《云控制矩阵》、《云计算的主要风险》、《身份管理和访问控制指南》等。这些研究报告对云计算安全领域的发展和成果有重要的指导作用。
3)ISO/IEC JTC1 SC27(信息安全分技术委员会)是国际上最大最具代表性的信息安全标准化组织。目前,SC27已经基本确定了云计算安全和隐私的概念体系架构,并明确了信息安全管理、安全技术、身份管理和隐私技术3个领域的标准研制。
4)国际电信联盟ITU研究组会议于2010年5月在瑞士的日内瓦召开,决定成立ITU-T云计算专项工作组,旨在研究云计算在电信领域的应用。云计算安全是其中重要的研究课题,输出有《电信领域云计算安全指南》。
2.2 云计算安全问题分析
2010年初,云安全联盟和惠普经过调查列出了云计算的“七宗罪”。
1)数据泄露。数据访问权限、存储、管理等任意方面的不足都可能导致数据泄露,用户隐私暴露。
2)共享技术漏洞。由于云计算环境中虚拟服务器可能共享着相同的配置,配置错误将可能影响多个服务器,导致严重后果。不同的用户可能共享相同的服务器、数据或应用,导致访问控制变得困难。
3)恶意内部人员。云服务管理缺陷导致云服务内部工作人员的身份背景不清楚,可能有内部人员恶意破坏或窃取数据等行为。
4)账户和通信等的劫持。云服务用户的账户密码安全级别不高,身份验证机制薄弱,通信就比较容易被入侵者获取从而造成数据泄露。
5)应用程序接口不安全。接口质量不高,安全性低,第三方插件不安全。
6)没有正确应用云计算。黑客运用云计算做出新的攻击技术,未将云计算运用在正确的方向。
7)未知风险。未能预测到的风险,例如版本问题。
3 我国云计算安全分析及发展对策
3.1 我国云计算安全分析
我国云计算安全的问题主要有以下几方面:
1)信息安全法律法规和监管体系不够健全。我国在数据及隐私安全、信息保护等方面的法律法规还不够完善,云计算管理还不够规范,数据跨境流动也使管理难度增加。同时,由于对安全的担心和其他顾虑,云计算服务在中国的接受程度也比美国等发达国家要低。
2)我国在云计算安全领域的关键技术仍与国外先进水平差距较大。我国目前掌握的云计算技术大多来自于开源系统,而拥有核心技术的公司可以通过开源系统影响云计算的发展方向,因此,我国云计算容易受到影响,存在较大风险。
3)我国在云服务管理方面效率低。我国云服务发展还处于初级阶段,在管理方面仍处于摸索前进的阶段,存在较多漏洞,管理效率低下,缺少管理规范和制度,同时也缺少专门的机构来管理。
4)我国云计算安全领域人才缺口。云计算管理需要云计算方面的专业人才,而现在我国在云计算信息安全管理领域的人才严重不足,人才匮乏也是我国云计算安全方面的重要问题之一。
3.2 我国云计算安全发展对策
云计算的安全问题是云计算发展过程中最重要的问题之一。只有充分认识到云计算安全发展需要应对的问题,并根据云计算的服务特点和模式,制定合理安全的管理模式,推进相应的法律法规建设,培养专门的人才,从而在技术创新和变革方面带来质的飞跃。
1)加强云计算安全法律法规建设
加强云计算安全方面的法律法规建设,为云计算的发展做有力后盾,政府部门出台政策对用户与服务提供商之间制订协议,为云计算模式下的技术创新、知识产权、用户隐私、商业机密等一系列安全问题研究制定相应的管理规范,为云服务提供一个平等、统一、全面的法律保护机制,对云服务的安全控制予以法律法规指导,以确保云服务的安全性。
2)加强云计算安全体系建设
加强云计算发展过程中所涉及的各行业各组织机构之间的协调发展,例如云计算相关软硬件、政府、专家学者、云服务提供商和最终用户等各方面的标准化,建立一个云计算标准化产业链。
对新技术投入使用和服务的运营建立审核机制、验收规范、准入制度或资格许可证制度,对涉及安全的产品和技术严格把关。
加强与国外标准的交流,吸收国外云计算安全体系的精华,去其糟粕,同时针对国内现状不断改善的国家和行业标准,积极参加国际标准组织的会议和研究工作,如ISO、ITU等。
3)云计算技术创新
我国政府大力支持云计算的发展,出台政策推进云计算技术创新,加强云计算相关技术研发中心、企业技术中心的建设,加强知识产权保护,建立产业创新联盟,促进云计算协同创新。
4)云计算人才培养
积极推进云计算专业人才培养,加强学校教育与产业发展的有效衔接,支持企业和教育机构开展云计算应用人才培训。并制定激励机制,对做出贡献的云计算人才给予相应的奖励。
对云安全管理人员的身份背景进行严格审核,严格管理云安全管理人员,防止恶意隐私泄露事件的发生。
4 结束语
云计算的发展具有广阔的前景,受到各界人士的广泛关注,但是其发展过程中也面临了极大的挑战,而安全问题首当其冲。云计算安全问题不仅是技术问题,同时也涉及云计算安全方面的法律法规建设、安全体系的规范化、管理方面标准化等诸多方面。因此,在解决云计算安全问题时,不仅要进行技术创新和研究,同时要注意社会各界包括学术界、产业界和政府相关部门的配合,才能使云计算这个新兴产业更加快速稳定的发展。
参考文献:
[1] 冯登国,张敏,张妍,等. 云计算安全研究[J]. 软件学报,2011(1):71-83.
[2] 段翼真,王晓程,刘忠. 云计算安全:概念、现状与关键技术[J]. 信息网络安全,2012(8):86-89.
[3] 闫晓丽. 云计算安全问题[J]. 信息安全与技术,2014(3):3-5,13.
[4] 马飞,马可,郭晨. 云计算安全现状及我国政策思考[J]. 电信网技术,2015(2):1-4.
[5] 胡章荣,王朝斌. 基于云计算的安全分析[J]. 软件导刊,2015(2):157-159.
[6] 李连,朱爱红. 云计算安全技术研究综述[J]. 信息安全与技术,2013(5):42-45,52.
[7] 丁一军,于桂荣. 云计算:安全技术问题探讨[J]. 科技创新导报,2015(7):58-59.
[8] 卢娟. 浅析云计算技术与安全[J]. 电子世界,2014(17):1-2.
[9] 童舜海,吴登峰. 云计算环境下网络安全面临的威胁及防范[J]. 电子技术与软件工程,2015(24):206.
[10] 常学洲,朱之红. 云计算安全问题探讨和研究[J]. 网络安全技术与应用,2014(3):106,108.